又被挂马了，太黑暗了。

jj思密达

现在感觉做木马干人的，比做网站的人数还多，都想着靠吸血别人，真的牛逼了

kailiboy

jj思密达 发表于 2025-7-14 07:15
哎，以前我会抗争，现在我只想说，你说得对，因为宝塔是真的牛逼了，指望吸我们血过活了 ...

宝塔什么时候吸你血了。看看我我历史帖子。是因为宝塔自己官方水平有限，加上配合不可抗拒因素的数据收集。任何多余的面板，都会让服务器多一份风险。本身一个服务器已经给你证书密钥一对一登录了。你非要搞个面板绕开证书密钥。非要安装一些过时的FTP协议软件。有些喷子还说FTP可以安装证书啊。问题就在默认按没按证书嘛。。你有这个安全意识，别人就没有啊。没事多去国际论坛逛一下，英语点以下翻译就能看懂的。非要给黑客机会，就不要怪宝塔官方。人家本身没这个技术实力，各种软件又不是官方开发的。关键就在你非要安装这个面板和各种傻逼插件，给黑客机会罢了。。。。你自己随便弄个开放式网站，开启访问日志。看看黑客一天到晚在扫描什么就懂了啊。。。目前程序上来说，扫描最多的就是wordpress和php的composer.....问题就是你们到底算不算程序员，到底懂不懂原理。有没有独立思考能力的问题了

kailiboy

叫你们别用宝塔。打死不听。活该

jj思密达

kailiboy 发表于 2025-7-15 01:10
叫你们别用宝塔。打死不听。活该

哎，以前我会抗争，现在我只想说，你说得对，因为宝塔是真的牛逼了，指望吸我们血过活了

jj思密达

kailiboy 发表于 2025-7-15 01:27
宝塔什么时候吸你血了。看看我我历史帖子。是因为宝塔自己官方水平有限，加上配合不可抗拒因素的数据收集 ...

你说的这些能力，我都没有，我相信大多数站长都不具备这么全面的技术能力。但现在不具备这些，可能就生存不下去了。这就是艰难的现状，我的情况比你想的复杂一点，因为我的数据量很大很复杂，如果完全按照你说的那样做，需要的能力不仅仅是你说的这样。

ncallme

都不安全的其实

jj思密达

ncallme 发表于 2025-7-15 01:46
都不安全的其实

主要这不是兴趣爱好，是职业，只能用2个字形容，残酷。现在的做站环境真的很残酷。黑白都又不是绝对的，白的也会下场干黑的。

盖茨

kailiboy 发表于 2025-7-15 01:27
宝塔什么时候吸你血了。看看我我历史帖子。是因为宝塔自己官方水平有限，加上配合不可抗拒因素的数据收集 ...

安装一些过时的FTP协议软件，这个指的是啥。

bobbylong

kailiboy 发表于 2025-7-15 01:27
宝塔什么时候吸你血了。看看我我历史帖子。是因为宝塔自己官方水平有限，加上配合不可抗拒因素的数据收集 ...

坛子里有大佬很早以前就抓到过宝塔刚装完就开始动你的系统，只要你用宝塔安装nginx就会触发

kailiboy

bobbylong 发表于 2025-7-14 10:18
坛子里有大佬很早以前就抓到过宝塔刚装完就开始动你的系统，只要你用宝塔安装nginx就会触发 ...

以我自己的经验，我是有发言权的，宝塔就是真正的木马入口。可以这样说，凡是使用宝塔的服务器或者wordpress程序的服务器，以及thinkphp等等的服务器，黑客是最开心的。当然，只要你有安全意识，这些都不是问题。问题就是大多数人正如楼主这样的，看到什么火就用什么。然后都是默认配置。。。特别注意 默认 两个字。。很多很火的软件，比如es搜索引擎，在默认情况下，允许外网访问，这就太离谱了。又比如mysql本来只监听127.0.0.1，但第三方图形界面的客户端，要求你使用的第一步就是开放远程访问等等。很多事情，都是一个文章，一个教程导致一大批跟着遭殃的。

当然，你说这是官方行为，也不是没有这个可能。因为互联网从业者中早已经被金钱腐蚀，从服务器到路由节点到你终端电脑到任何一个软件。其实都只是君子协定。要得到你的信息，数据，篡改，拦截，实在是太简单了。比如lnmp,等等脚本，还有最近的alist等等，在灰色产业大量金钱诱惑下，很难保证从业者还能坚守道德底线。比如，任何一个机房的从业者，只要稍微对你所在服务器读取以下，你就没有任何秘密可言。如果这是国家行为，那就更恐怖了。所以，如果你只是玩一下，没有任何商业价值，也没什么大不了的。但如果你是商业项目，就不得不去比其他人更加注重安全意识。从源代码加密，到传输加密，到访问权限，一切都要小心。一个很直观的事实。稍微大一点的互联网公司，就没见过哪个用宝塔面板的。也没见过哪个用wordress或者thinkphp框架的。没错。。。。第一步就应该开发自己的框架。

我曾经接手过印度外包的项目源代码。。。。人家是真的框架概念都没有，完全自己手搓的代码。。。但就是因为有了差异化，才不会被黑客找到漏洞。

开源的事实真相是，你作为源代码受益者可以下载安装。。黑客同样可以下载安装，黑客下载安装的目的就是在本地查找漏洞，分析特征。

需要注意的是，整个互联网没有开源，肯定是倒退几十年。但开源的一般都是中间件，而不是一个项目。

你可以注意到，任何一个有商业价值的公司项目，都没有开源过。我这里指的是互联网项目，网站，APP等。不要拿andorid或者linux这样的系统来说，这些是因为人家没有时间和经历，需要互联网共同维护。但大多数网站，APP开源项目，其实就是黑客最主要的攻击对象。因为分析漏洞实在是太方便了。